시큐리티스코어카드, 한국 지사 설립…‘공급망 보안 시장 직접 공략’
글로벌 사이버 보안 등급 평가 기업 시큐리티스코어카드(SecurityScorecard)는 11일 서울에서 한국 지사 설립 관련 기자간담회를 열고, 우청하 초대 한국 대표를 선임했다고 밝혔다. 회사는 한국에서 공급망 보안 시장을 직접 공략하면서 고객 지원을 확대할 계획이다.
시큐리티스코어카드는 2013년 미국 뉴욕에서 설립된 공급망 보안·제3자 위험관리 기업이다. 현재 57개국에서 3500개 고객을 확보하고 있으며, 금융, 제조, 보험, 소매, 의료, 통신, 중요 기반시설 등 다양한 산업군을 고객으로 두고 있다.
우청하 시큐리티스코어카드 한국 대표는 25년 이상 글로벌 사이버보안 업계에서 활동하며 센티넬원, 버카다, 파이어몬 등 글로벌 보안 기업의 한국 지사 설립과 시장 안착을 이끈 시장 개척 전문가로 알려져 있다. 우 한국 대표는 “공급망 보안이라는 새로운 카테고리를 한국 시장에 안착시키겠다”고 강조했다.
공급망 위협 증가…보안 등급 평가에서 공급망 관리 플랫폼으로
이날 발표를 맡은 매튜 맥케나(Matthew McKenna) 시큐리티스코어카드 글로벌 세일즈 총괄 사장은 가장 먼저 ‘공급망 침해’를 화두로 꺼냈다. 그는 2025년 말 유럽 공항들이 공급망 침해로 연쇄 피해를 본 사례를 언급하며 “공급망에 연결된 한 업체의 문제만으로도 수많은 고객사와 서비스가 동시에 흔들릴 수 있다”고 설명했다. 전체 침해 사고의 30~40%가 제3자와 관련 있다는 점도 제시했다. 회사의 보안만 잘한다고 끝나는 문제가 아니라, 협력사와 공급사, 위탁 운영사까지 연결된 구조 전체를 봐야 한다는 설명이다.
시큐리티스코어카드는 이런 문제를 해결하는 출발점으로 ‘보안 등급’을 제시했다. 회사의 핵심 솔루션인 ‘시큐리티 레이팅(Security Ratings)’은 공급망 전체에서 관측되는 기업의 공격표면과 보안 위협 수준을 0점부터 100점까지 점수화하고, 이를 A부터 F까지 등급으로 보여준다. 네트워크 보안, 도메인네임시스템(DNS) 상태, 패치 적용 속도, 애플리케이션 보안, 아이피(IP) 평판, 엔드포인트 보안, 정보 유출 징후 등을 종합해 평가한다.
이 점수 체계 위에 ‘공급망 위험관리 플랫폼’을 결합했다. 외부 공격표면 관리(ASM), 제3자 위험관리(TPRM), 자동화된 벤더 탐지(Automatic Vendor Detection), 질문서·평가 자동화, 공급망 탐지·대응(SCDR), 관리형 서비스 맥스(MAX) 등이 그 축이다. 자동화된 벤더 탐지는 기업이 인식하지 못한 공급업체 관계까지 해석해 숨은 위험 연결고리를 찾는 기능이다. MAX는 고위험 공급사를 우선순위화하고, 필요한 경우 공급사와 직접 협업해 위험을 줄이는 관리형 서비스다. 공급망 전체를 지속적으로 감시하고 개입하는 운영 체계에 가깝다.

시큐리티스코어카드는 자사의 차별점으로 방대한 공급망 위협 데이터를 들었다. 회사는 자체 센서 네트워크와 10년 이상 축적한 데이터를 바탕으로 전 세계 1400만개 기업의 디지털 풋프린트, 즉 외부에 노출된 디지털 자산 흔적을 분석한다고 설명했다. 주간 기준 1000억개 이상 취약점 정보와 70억건 이상 유출 자격증명 정보도 수집한다.
매튜 총괄 사장은 “인공지능(AI)으로 가공해 위험 신호를 우선순위화하고, 고객이 이해하기 쉬운 점수와 등급으로 보여준다”며 “비침투형 방식으로 외부에서 관측 가능한 데이터를 분석한다”고 강조했다.
한국 기업 보안 강하지만, 공급망 관리는 아직 과제
시큐리티스코어카드가 한국 시장에 들어온 이유는 ‘공급망 관리의 필요성’에 있다. 매튜 사장은 “한국 기업들은 자체 보안 태세와 공격표면 관리 역량은 비교적 강하게 갖추고 있다”며 “다만 제3자 위험관리와 공급망 위험을 지속적으로 모니터링하는 프로그램은 아직 더 발전할 여지가 있다”고 평가했다. 협력사 위험을 상시로 들여다보고, 문제가 드러났을 때 공급사와 함께 위험을 줄여나가는 체계는 아직 충분히 자리 잡지 못했다는 것이다.
이날 회사는 한국 100대 기업 대상으로 보안 수준을 분석한 내용도 공개했다. 국내 주요 상장사의 매출을 기준으로 100대 기업을 선정해 12~13개 산업군에 걸쳐 분석했다. 분석 결과, 국내 100대 기업의 평균 보안 점수는 71점이었다. 27%는 A등급 또는 B등급을 받아 비교적 강한 보안 태세를 보였다. 반면 46%는 높은 사이버 보안 위험과 침해 가능성을 드러냈다. 최근 1년 안에 공개된 침해 이력이 있는 기업은 14%였다. 더 눈에 띄는 수치는 공급망 영역이다. 조사 대상의 94%가 제3자 또는 제4자를 통해 발생한 침해의 영향을 받은 것으로 나타났다. 특히, 169개 벤더에서 발생한 사고가 이들 기업에 영향을 줬다.
폭넓은 산업 구조도 시큐리티스코어카드가 한국에 진출한 배경 중 하나다. 반도체, 자동차, 철강, 제조, 정보기술(IT), 중요 기반시설처럼 글로벌 공급망과 깊게 얽힌 산업 비중이 큰 만큼, 공급망 보안 수준이 거래 신뢰와 계약 유지에 직접 영향을 미칠 수 있다는 판단이다.
메튜 총괄 사장은 “규제 측면에서도 한국은 이미 성숙한 시장”이라며 “앞으로는 공급망 리스크를 더 정교하게 반영하는 방향으로 제도와 요구사항이 발전할 것”이라고 내다봤다. 이런 변화에 맞춰 국내 기업에 상시 모니터링 역량을 제공하겠다는 계획이다.
총판 없이 지사 중심으로 파트너와 공략
회사는 아직 한국 총판은 두지 않았다고 설명했다. 일단은 지사를 중심으로 고객 대응, 기술 지원, 시장 발굴을 직접 챙기겠다는 구상이다. 일반적인 외산 보안업체처럼 총판 체계에 먼저 기대기보다, 초기부터 시장을 직접 관리하며 공급망 보안 수요를 키우겠다는 전략이다.
이 과정에서 국내 파트너 생태계도 함께 넓힌다. 시큐리티스코어카드는 한국 지사 설립과 함께 굿모닝아이텍, 피노라이크, 동훈아이텍과 파트너십을 체결하고, 한국 기업의 공급망 보안 경쟁력 강화를 지원할 계획도 밝혔다.
매튜 총괄 사장은 “한국 시장을 장기적인 투자 대상으로 보고 있다”며 “단순히 제품을 판매하는 데 그치지 않고, 국내 고객과 파트너가 공급망 위험을 사후 대응이 아니라 사전 모니터링 중심으로 관리하도록 시장 자체를 만들어가겠다”고 설명했다. 이어 “한 회사가 공급망 위협으로부터 모든 기업을 다 구해낼 수는 없다”며 “기업과 공급사 사이에 사이버 위협 정보를 공유하는 최대 커뮤니티 역할을 하고 싶다”고 강조했다. 공급망 참여자끼리 위험 정보를 주고받는 구조를 만들면 전체 공격표면을 줄이고 침해 사고도 낮출 수 있다는 설명이다.
제품 도입 방식은 두 갈래다. 하나는 기업이 서비스형 소프트웨어(SaaS) 형태로 직접 도입하는 방식이다. 고객이 모니터링할 공급사를 입력하면 바로 운영할 수 있는 구조라고 회사는 설명했다. 다른 하나는 관리형 보안 서비스 제공업체(MSP)를 통한 방식이다. MSP가 시큐리티스코어카드 데이터를 바탕으로 고객에게 추가 부가가치 서비스를 제공할 수 있다. 모든 데이터는 애플리케이션 프로그래밍 인터페이스(API)로 접근할 수 있어 다른 보안 시스템과 연계하기 쉽다는 점도 장점으로 내세웠다. 실제로 회사는 스플렁크, 큐레이더 같은 보안 정보·이벤트 관리(SIEM) 솔루션 업체, 보안 오케스트레이션 도구와의 통합도 언급했다.

대기업 중심으로 레퍼런스 확대
한국에서의 초기 공략 대상은 대기업이다. 회사는 이미 국내 주요 대기업 고객을 확보하고 있다고 밝혔다. 주요 고객사로는 2000개 이상 협력사를 관리하는 국내 대기업을 비롯해 P그룹 철강 계열사, H그룹, P그룹 등을 언급했다.
매튜 총괄 사장은 “한국은 반도체, 자동차, 조선, 방산, IT 산업이 집약된 글로벌 공급망 중심 국가로 글로벌 보안 전략에서 가장 중요한 시장 중 하나”라며 “이번 한국 지사 설립을 통해 한국을 아시아 공급망 보안 전략의 핵심 허브로 육성하고 장기적인 투자와 기술 지원을 지속적으로 확대할 것”이라고 강조했다.
우 한국 대표는 “한국 기업들은 높은 기술 경쟁력을 갖추고 있지만, 글로벌 시장에서 요구하는 보안 투명성과 공급망 가시성 확보는 여전히 중요한 과제”라며 “전 세계 수많은 조직의 보안 데이터를 기반으로 한국 기업들이 공급망 리스크를 사전에 식별하고, 글로벌 기준에 부합하는 보안 경쟁력을 확보할 수 있게 지원할 것”이라고 말했다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

